Quid Sicurezza è il Partner ideale per raggiungere la Compliance al GDPR
Dal 25 maggio 2018 è in vigore il Regolamento Europeo 2016/679, noto come GDPR (General Data Protection Regulation).
Questo nuovo regolamento impone a tutte le organizzazioni che trattano dati personali di svolgere un lavoro di analisi e documentazione, al fine di proteggere i dati che trattano. Una cosa fondamentale da capire, è che qualsiasi azienda che abbia anche un solo dipendente ricade nel campo di applicazione di questo regolamento.
Se la tua azienda ha uno o più dipendenti, oppure ha un sito Web, oppure raccoglie o ha raccolto in passato dati personali, allora deve adeguarsi.
Che cosa è un dato personale
Riassumendo possiamo dire che sono tutti i dati, che se consultati, possono ricondurre all’identità di una persona fisica. Sono quindi escluse le imprese che trattano dati di persone giuridiche come imprese e partite Iva, salvo che queste non siano riconducibili ad una ditta individuale.
Per esempio: nome, cognome, luogo e data di nascita, codice fiscale, e-mail, materiale audio e video, localizzazione, indirizzo IP, dati bancari; oppure dati biometrici come fisiologia o dati genetici ed Infine dati di natura economica, culturale o sociale, sono dati personali che devono essere protetti dal Titolare del Trattamento.
È importante capire che Trattamento non significa Utilizzo, bensì anche solo raccogliere e conservare un dato personale senza più toccarlo su un supporto cartaceo o informatico, significa trattare un dato.
Di quali dati dispongo
Una delle domande fondamentali da porsi è: quale tipologia di dato tratto?
Indirizzare i lasciati lì per anni, fatture di fornitori, moduli compilati da clienti e mai utilizzati etc… I dati possono essere innumerevoli!
Questi dati, spesso sparsi in giro, meritano particolare attenzione?
Rivelano informazioni sulla salute?
Le opinioni politiche, religiose o filosofiche di una o più persone?
Dove sono conservati questi dati?
Sono in un armadio?
In un cassetto?
Su un hard disk?
Chi può accedere a questi dati?
A chi ho dato questi dati?
L’azienda cui ho mandati a chi li ha inviati successivamente?
Attenzione ai fornitori
La responsabilità della protezione dei dati ricade anche su chi tratta i dati per l’azienda sul suo incarico, come per esempio il consulente che fa le paghe oppure chi gestisce il sito o prepara la mailing-list.
Il fornitore dovrà comunque fornire al titolare del trattamento la garanzia di effettuare i servizi conformemente al GDPR; dando inoltre tutte le informazioni necessarie affinché egli possa dimostrare ciò.
Tutte le relazioni fra cliente fornitore devono essere formalizzate. All’interno dei contratti fra le parti dovrà essere definita:
- La durata del trattamento dati derivante dal contratto la natura e le finalità del trattamento
- La prestazione oggetto del contratto
- La tipologia dei dati trattati
- Le categorie di persone interessate
- I diritti e doveri del cliente
- I diritti doveri del fornitore
Quali sono i rischi
L’autorità italiana che vigila sui dati è il Garante per la Protezione dei Dati di cui riportiamo il link al sito www.garanteprivacy.it, questa può applicare sanzioni fino a 20 milioni di euro, o fino al 4% del fatturato dell’anno precedente.
Il garante inoltre, al fine di limitare i danni derivanti da un trattamento inidoneo delle persone interessate può prendere provvedimenti come:
- Avvertimenti, ammonimenti, ingiunzioni, limitazioni provvisorie o definitive al trattamento, incluso il divieto.
- Rettifica, cancellazione di dati personali, limitazione del trattamento e della notifica di tali misure ai destinatari cui sono stati comunicati i dati personali.
- Revoca della certificazione o ingiunzione all’organismo di certificazione di ritirare la certificazione rilasciata.
- Sospensione dei flussi di dati verso un paese terzo o un’organizzazione internazionale.
Il Registro dei Trattamenti
I dati personali vanno trattati come fossero un bene che l’interessato vi concede, e da parte dell’organizzazione è necessario predisporre un registro che riporti dati che vengono trattati, dove questi vengono conservati e come si può accedere a questi.
Il Data Protection Officer (DPO)
Quid offre il servizio di Data Protection Officer esterno.
Questa figura, introdotta dalla GDPR è necessaria per organizzazioni appartenenti a categorie particolari, come ad esempio:
- autorità o organizzazioni di diritto pubblico
- enti privati che svolgono funzioni pubbliche, per esempio ordini professionali
- organizzazioni che monitorando dati personali in modo sistematico e su larga scala
- chi ha tra le proprie attività chiave la raccolta ed il trattamento dei dati
- organizzazioni che trattano dati sensibili su larga scala
l’articolo 37 del GDPR sancisce che il DPO deve essere designato in base alle sue qualità professionali, della conoscenza della legge in materia di protezione dei dati e dalla capacità di svolgere le funzioni richieste.
Come opera il DPO
Questa figura deve essere coinvolta nei processi decisionali che hanno delle conseguenze del trattamento dei dati e deve poter avere accesso alle funzioni ed informazioni che sono necessarie per svolgere il suo ruolo. Se contrario a certe decisioni, si deve verbalizzare la sua opinione e devono essere documentate le ragioni per cui non si è dato seguito alle sue indicazioni.
La remunerazione del DPO deve essere commisurata al lavoro da svolgere.
Il Data Protection Impact Assessment (DPIA)
Tra i servizi offerti da Quid vi è, qualora la tipologia di dati non richieda, l’effettuazione di una procedura che descrive uno o più trattamenti che hanno caratteristiche particolari in termini di: natura, ambito, contesto, finalità e i rischi derivanti dal trattamento.
Questo processo avviene al fine di aiutare titolare del trattamento a rispettare le prescrizioni ed adottare tutte le misure idonee a dimostrare di essere conforme al GDPR.
Oltre alle attività sopraelencate, Quid sicurezza offre tutti i servizi al fine di raggiungere la Compliance al GDPR come:
- Audit Aziendale
- Registro dei trattamenti
- Nomina dei responsabili del trattamento
- Formazione dei responsabili del trattamento
- Stesura delle informative e delle richieste di consenso agli interessati
- Analisi della sicurezza dei sistemi informatici
Non esitare a contattarci per avere informazioni senza impegno, clicca QUI